Bundesamt für Sicherheit in der Informationstechnik

M 2.234 Konzeption von Internet-PCs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Nach der Entscheidung, einen oder mehrere Internet-PCs für die Nutzung von Internet-Angeboten und -Diensten zur Verfügung zu stellen, sollte ein Konzept für die konkrete Realisierung erstellt werden. In diesem Konzept sollten die funktionale Anforderungen, Sicherheitsanforderungen, erforderliche Regelungen, Zuständigkeiten sowie Vorgaben für die technische Realisierung und Nutzung festgelegt werden.

Es wird empfohlen, bei der Konzeption mindestens die folgenden Teilaspekte zu berücksichtigen. Je nach den vorliegenden organisatorischen Randbedingungen müssen unter Umständen weitere Punkte in das Konzept aufgenommen werden. Hinweise hierzu können den Bausteinen B 3.301 Sicherheitsgateway (Firewall) und B 5.4 Webserver entnommen werden.

Funktionale Anforderungen

Als Erstes sollte festgelegt werden, welche im Internet angebotenen Dienste, z. B. World Wide Web (WWW), E-Mail, News oder Instant Messaging, genutzt werden sollen. Dies hat weitgehende Auswirkungen auf die zu installierende Software und die erforderlichen Sicherheitsmaßnahmen.

Um einen geeigneten Internet Service Provider (ISP) und eine zweckmäßige Anschlusstechnik auswählen zu können, sollten weiterhin die benötigten Bandbreiten und Antwortzeiten für die einzelnen Internet-Dienste dokumentiert werden.

Um Kriterien für die Aufstellungsorte der Internet-PCs zu erhalten, sollte anschließend im Konzept dokumentiert werden, wie hoch das voraussichtliche Nutzeraufkommen ist und welche Anforderungen hinsichtlich der räumlichen Nähe des Internet-PCs zum Mitarbeiter bestehen.

Weiterhin sollte festgelegt werden, wie mit Daten aus dem Internet, z. B. heruntergeladenen Dateien, umgegangen wird, ob diese z. B. auf anderen Systemen weiterverarbeitet werden dürfen oder archiviert werden müssen. Ein Datenaustausch zwischen Internet-PC und Hausnetz erfordert zusätzliche Sicherheitsmaßnahmen und Regelungen.

Sicherheitsanforderungen

Hinsichtlich der Sicherheitsanforderungen sollte im Konzept festgelegt werden, ob die Informationen, die aus dem Internet abgerufen oder an andere Computer im Internet gesendet werden, gegen unbefugtes Mitlesen oder unerlaubte Veränderung geschützt werden müssen.

Weiterhin ist im Konzept zu dokumentieren, ob auf dem Internet-PC schützenswerte Daten abgespeichert und längere Zeit vorgehalten werden müssen. Dies ist besonders dann relevant, wenn der Internet-PC auch für E-Mail verwendet wird.

Im Hinblick auf Zurechenbarkeit und Schutz vor unerlaubter Nutzung sollte festgelegt werden, ob sich Benutzer am Internet-PC authentisieren müssen, bevor sie den Internet-Zugang verwenden können.

Das Einsatzkonzept sollte auch Aussagen zu Anforderungen an die Verfügbarkeit enthalten. Es ist daher festzulegen, ob ein Ausfall des Internet-PCs für längere Zeit tolerabel ist oder ob für diesen Fall Ausweichlösungen geschaffen werden müssen.

Erforderliche Regelungen

Im Hinblick auf die Nutzung eines Internet-PCs müssen bestehende Regelungen angepasst oder neu festgelegt werden. Dazu gehören insbesondere das Sicherheitskonzept und die Benutzerrichtlinie (siehe auch M 2.235 Richtlinien für die Nutzung von Internet-PCs ). Je nach Standort kann der Einsatz eines Internet-PCs aber beispielsweise auch Auswirkungen auf bestehende Zutrittsregelungen haben.

Zuständigkeiten

Auch Internet-PCs müssen durch fachkundiges Personal administriert und gewartet werden. Im Einsatzkonzept sollte daher festgelegt werden, welche Mitarbeiter bzw. Rollen für Administration und Betrieb des Internet-PCs zuständig sind und wer zu benachrichtigen ist, wenn der Internet-PC ausfällt oder wenn Anzeichen für einen Sicherheitsvorfall entdeckt werden.

Da sich das Nutzungsprofil und die Einsatzumgebung von Internet-PCs schnell ändern können, muss das Konzept fortgeschrieben werden. Es sollte dokumentiert werden, wer hierfür zuständig ist.

Vorgaben für die technische Realisierung (Hardware)

Im Konzept sollte vorgegeben werden, wie viele Internet-PCs zum Einsatz kommen und ob diese untereinander vernetzt und mit einer gemeinsamen Internet-Anbindung ausgestattet werden sollen. In diesem Fall sollte auch festgelegt werden, was für Komponenten zur Vernetzung verwendet werden.

Weiterhin sollte die Hardware-Ausstattung der Internet-PCs definiert werden. Dazu gehören z. B. die Hardware-Plattform, Laufwerke, Schnittstellen und Peripheriegeräte.

Falls eine Datensicherung des Internet-PCs erforderlich ist, sollte im Konzept festgelegt werden, über welche Medien oder Schnittstellen diese erfolgt.

Vorgaben für die technische Realisierung (Software)

Um die Administration zu vereinfachen, sollten alle Internet-PCs möglichst gleich ausgestattet sein. Die Software-Ausstattung sollte daher im Konzept weitgehend vorgegeben werden.

Das verwendete Betriebssystem sollte auf jeden Fall im Einsatzkonzept festgelegt werden. Falls eine Authentisierung der Benutzer erforderlich ist, sollten nur Betriebssysteme mit einer wirksamen Benutzertrennung, z. B. Windows NT/2000 oder Linux, eingesetzt werden. Windows 9x/ME sind in diesem Fall ungeeignet.

Weiterhin sollte dokumentiert werden, welche Client-Programme für Internet-Dienste zum Einsatz kommen sollen. In vielen Fällen wird zumindest ein WWW-Browser und ein E-Mail-Client benötigt. Weitere Beispiele sind News-Clients und Instant Messaging-Programme.

Um die Sicherheitsanforderungen erfüllen zu können, müssen meist zusätzliche Sicherheitstools installiert werden, z. B. für den Schutz vor Computer-Viren, zur Datensicherung oder zur Verschlüsselung. Im Konzept sollte festgelegt werden, welche Produkte hierfür ggf. verwendet werden.

Vorgaben für die technische Realisierung (Internet-Anbindung)

Das Einsatzkonzept sollte detaillierte Vorgaben zur technischen Realisierung der Internet-Anbindung machen, um die Anforderungen an Bandbreite, Antwortzeiten und Verfügbarkeit erfüllen zu können (siehe auch M 5.92 Sichere Internet-Anbindung von Internet-PCs ). Hierzu gehört einerseits die Frage, über welchen oder welche Internet Service Provider (ISP) der Zugang zum Internet erfolgen soll (siehe auch M 2.176 Geeignete Auswahl eines Internet Service Providers ).

Andererseits muss auch festgelegt werden, über welche Zugangstechnik, z. B. ISDN oder DSL , die Internet-Anbindung erfolgen soll und welche Schnittstelle des Internet-PCs, z. B. ISDN-Karte oder Netzwerkkarte, hierfür verwendet wird. Je nach verwendeter Zugangstechnik werden unter Umständen spezielle Programme oder Hardware-Komponenten, z. B. DSL-Modem bzw. Router, benötigt.

Prüffragen:

  • Wurde ein Nutzungskonzept für den Einsatz von Internet-PCs erstellt, das auch die Sicherheitsanforderungen an den Internet-Zugang enthält?

  • Ist in einem Konzept festgelegt, welche Internet-Dienste genutzt werden dürfen und welche Dienste an Internet-PCs zur Verfügung stehen?

  • Ist der Umgang mit Daten aus dem Internet festgelegt, insbesondere hinsichtlich der Weiterverarbeitung auf anderen Systemen?

  • Sind in dem Konzept die Anforderungen an die Verfügbarkeit von Internet-PCs festgelegt und ob für einen Ausfall Ausweichlösungen geschaffen werden müssen?

  • Sind die Zuständigkeiten für Administration und Betrieb von Internet-PCs sowie Ansprechpartner benannt?

Stand: 13. EL Stand 2013